【谈判实录】在Akira勒索软件谈判中

Akira勒索软件于2023年3月首次被注意到，最近他们还升级了攻击能力，推出了Linux版本来补充现有的Windows版本。Akira采用的是一种双重勒索模式，即加密又从受害者组织中窃取数据。如果受害者拒绝支付赎金，他们的数据将被在线泄露。与大多数勒索软件团伙不同，Akira通过BitTorrent分享泄露的数据，而不是直接下载（最近Cl0p勒索软件在MOVEit事件后也开始采用类似方法）。

Avast的研究人员开发了一个Akira勒索软件的解密工具，并向公众提供下载。如果您是Akira勒索软件的受害者，可以从这里开始应对：https://decoded.avast.io/threatresearch/decrypted-akira-ransomware/

如果该解密工具对您不起作用，或者您希望在限制数据曝光的同时尝试解密，以下信息可能对您有所帮助，至少可以减少未知因素的影响。

每个受害者的Akira加密器都是单独编译的，因此不同受害者的加密器具有不同的哈希值。赎金通知被硬编码到可执行文件中，内容如下：

“你好朋友们，

无论你是谁，担任什么职位，如果你正在阅读这份文件，这意味着你们公司的内部基础设施已经部分或全部瘫痪，所有我们能够访问的虚拟或物理备份已经彻底删除。此外，我们在加密之前还获取了你们大量的公司数据。好了，现在让我们收起眼泪和怨恨，尝试建立建设性的对话。我们完全了解锁定你们内部资源所造成的损害。目前，你需要知道以下几点：

1. 与我们合作可以节省很多费用，因为我们并不想彻底摧毁你的财务。我们会深入研究你的财务情况、银行收入报表、储蓄、投资等，并向你提出合理的要求。如果你有有效的网络保险，请告诉我们，我们会指导你如何正确使用它。另外，拖延谈判过程将导致交易失败。
2. 支付我们可以节省你的时间、金钱和精力，大约在24小时内就能恢复正常。我们的解密器适用于任何文件或系统，你可以在谈话开始时请求测试解密服务。如果你决定自行恢复，请记住，你可能会永久失去某些文件的访问权限或意外破坏文件——在这种情况下，我们将无法提供帮助。
3. 达成协议后，你将收到的安全报告或独家一手信息非常有价值，因为没有任何完整的网络审计会显示我们在入侵过程中检测并利用的漏洞，识别备份解决方案和上传数据的方式。
4. 关于你的数据，如果我们未能达成协议，我们将尝试向多个黑市威胁方出售个人信息、商业机密、数据库、源代码——总之，任何有价值的信息。之后，这些数据将发布在我们的博客上：https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion。
5. 我们非常愿意谈判并快速找到一个双方都满意的解决方案。如果你确实对我们的服务感兴趣，可以按照以下简单步骤联系我们：
1. 安装TOR浏览器以访问我们的聊天室 - https://www.torproject.org/download/。
2. 输入此链接 - https://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion。
3. 使用此代码 - 1234-AB-CDEF-GHIJ - 登入我们的聊天室。请记住，联系得越快，损失越少。”

在赎金通知中，我们注意到以下三个项目：

1. 数据泄露页面：https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion
2. 受害者联系页面：https://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion
3. 受害者ID：用于访问谈判的受害者ID（格式如“1234-AB-CDEF-GHIJ”，这里的示例ID不是真实ID，但形式相同）

Lab539观察到的受害者网络上的赎金通知文件名为 akira_readme.txt，加密文件则使用 .akira 扩展名。每个受害者都有不同的RSA公钥硬编码到加密二进制文件中。

当受害者访问用于与Akira进行聊天或谈判的URL时，将显示以下登录界面：

输入受害者ID

在赎金通知中输入受害者ID后，将进入与Akira的聊天界面。Lab539获得的聊天记录显示，每位受害者的沟通内容略有不同，这表明这些交流是由人类进行的。

首次进入聊天时，许多受害者会看到一条消息，表示文件正在准备中。这是一个文件列表，稍后将与受害者分享，以展示Akira窃取并加密的数据内容。

文件准备完成后

一旦该过程完成（这似乎是一个相对手动的过程），受害者将收到一份被窃取和加密文件的目录列表（“文件列表”），他们可以下载并查看该列表。受害者可以从下载的列表中选择2-3个文件，Akira将解密这些文件并上传到聊天中，以证明他们确实获取了这些文件。受害者还可以上传2-3个文件，Akira会对其进行解密并返还，以展示他们所出售的解密密钥确实有效。

文件列表下载格式

文件列表的下载格式各不相同，我们见过.txt、.zip、.rar和.7z扩展名的文件。在所有情况下，这些文件包含从遭受勒索软件攻击的系统中窃取的文件列表。这些差异表明可能有多个不同的操作员参与，并且这一过程主要是手动的、由人类驱动的。

在Lab539分享的案例中，当受害者请求数据占有的证明时，Akira确实提供了相关证明。同样，Akira也成功地解密了受害者上传的加密文件。尽管Akira可能仅仅返还了他们之前外泄的未加密副本，而非执行解密，但没有证据表明这种情况发生过。实际上，在我们共享的一个交流中，受害者似乎进行了测试，上传了一个并非由Akira加密的文件，并因此被指责。

Akira的赎金要求因受害者组织的规模而异。正如他们在下面的聊天中所强调的，Akira会搜集公司的财务文件，以制定他们认为“合理的要求”：

谈判的进展

从这一点开始，谈判的方向取决于Akira操作员和受害者（或代表受害者的操作员）之间的互动。因此，我们在下方列出了一些观察结果，以提供更多的见解。

• 我们收集到的赎金金额从几万美元到200万美元不等。
• 付款要求通过比特币完成。每位受害者的比特币钱包地址似乎都是唯一的。
• 尽管价格上有一定的谈判空间（我们见过Akira通过谈判将价格降低多达40%，也见过Akira为快速付款提供折扣），但这种折扣并不一致。Akira倾向于根据“他们提供的服务”进行谈判（如上方截图中所列）。他们经常谈论“套餐交易”——最初的报价就是这个套餐，包含所有项目——但你也可以只选择特定项目，但那样成本相对更高。
• 有些受害者选择支付较低费用以确保数据不被泄露在线上，但不购买解密密钥（也许是因为他们能够使用Avast的解密工具，或者有足够的备份）。在这种情况下，Akira会提供数据删除的证据。
• 数据删除的证据通常占最初赎金金额的约40%。
• 在所有我们见过的付款实例中，Akira都履行了协议。
• 被公布在Akira泄露网站上的受害者可以通过支付一定费用来成功移除其信息。
• 与Akira进行交涉有助于延长从勒索软件事件发生到数据被公开之间的时间窗口。不与之交涉可能导致数据在24小时内被泄露。
• 在一些案例中，Akira为受害者创建了新的聊天频道，而不是使用加密器ID对应的频道。建议受害者在选择与Akira交涉时，首先请求创建新的聊天频道。
• Akira的Linux加密器运行在ESXi主机上，但我们未观察到从ESXi主机中外泄的数据，仅从Windows主机上有数据泄漏（需注意：我们收到的关于Linux/ESXi加密的数据样本非常有限）。
• Akira显然会花时间定位财务数据，以帮助他们设定赎金金额。
• Akira的泄露网站有两个部分列出受害者：“新闻”和“泄露”。新闻部分列出受害者的名称及相关信息；泄露部分则同样列出受害者，并提供包含数据的种子下载链接。
• 受害者会首先出现在“新闻”部分，然后才会出现在“泄露”部分。有些受害者仅出现在新闻部分，从未在泄露部分出现。原因未知，可能只是因为Akira尚未发布这些数据。